Ti vendono una TV e ti regalano un malware! BadBox: un milione di dispositivi per una botnet invisibile

Redazione RHC : 6 Giugno 2025 21:53

L’FBI ha riferito che la botnet Android BadBox 2.0 ha già infettato oltre 1 milione di dispositivi in ​​tutto il mondo. Gli attacchi includono decoder TV, tablet, smart TV, smartphone e così via, che il malware trasforma in proxy residenziali.

“La botnet BadBox 2.0 è composta da milioni di dispositivi infetti e contiene molteplici backdoor verso proxy che i criminali informatici utilizzano per vendere o fornire accesso gratuito a reti domestiche compromesse da utilizzare per una serie di attività criminali”, avverte l’FBI.

Ricordiamo che BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, il malware può essere preinstallato su dispositivi economici fin da subito, e infettarli anche tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il malware viene utilizzato per rubare dati, installare altro malware e consente agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il gadget infetto. “I criminali informatici ottengono l’accesso non autorizzato alle reti domestiche dotando i dispositivi di malware prima che vengano acquistati dall’utente o infettandoli durante il download di applicazioni necessarie contenenti backdoor, cosa che di solito avviene durante la configurazione”, spiega l’FBI. “Una volta che i dispositivi IoT compromessi si connettono alle reti domestiche, diventano parte della botnet BadBox 2.0 e dei proxy residenziali, comunemente utilizzati per attività dannose”.

Come già segnalato dagli esperti di sicurezza, BadBox è in grado di rubare codici di autenticazione a due fattori, installare altro malware e creare nuovi account di posta elettronica e di messaggistica istantanea per diffondere notizie false. Inoltre, gli operatori di BadBox sono associati a frodi pubblicitarie e i dispositivi infetti vengono utilizzati come proxy residenziali. Sono noti anche casi in cui gli aggressori hanno utilizzato gli indirizzi IP delle vittime per accedere agli account di altre persone utilizzando credenziali rubate.

Ricordiamo che BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore indipendente di sicurezza informatica Daniel Milisic, il quale notò che su Amazon venivano venduti decoder Android T95 infettati da malware complessi fin dal primo momento.

Alla fine del 2024, le forze dell’ordine tedesche hanno tentato di disattivare  parte della botnet BadBox. Tuttavia, i ricercatori di BitSight hanno subito segnalato che l’operazione ha avuto un impatto minimo sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0.

“Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. “I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Secondo i ricercatori, la maggior parte dei gadget interessati si trova in Brasile (37,6%), Stati Uniti (18,2%), Messico (6,3%) e Argentina (5,3%). Nel marzo 2025, l’operazione ha consentito di realizzare un sinkhole su alcuni domini botnet, interrompendo la comunicazione con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, secondo l’FBI, la botnet sta nuovamente crescendo poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli